크래킹 피해

423,

11/22

midori68

http://spacelab.khu.ac.kr/~ken

해킹당한 것 같습니다

http://www.hackerschool.org/HS_Boards/zboard.php?id=QNA_recover&no=46 [복사]

어제까지만 해도 없던 정체불명의 디렉토리가 제 계정 안에 생겼습니다..
디렉토리 안에는 여러개의 디렉토리와 파일들이 들어 있었는데, 제각각 소유권도 다르고.. 도무지 무슨 목적으로 만든건지 알 수 가 없는 것들이더군요
게다가 지워지지도 않습니다..

rm 명력어가 안 먹어요

그래서 일단은 서버에서 x-window로 들어가서 지웠는데, 지울때 보니 몇 가지 수상한 이름의 실행파일과 tar 파일이 있더군요

우선 linuxkit.tar 라는 것이 뭐하는 건지 궁금합니다
그냥 지워버렸는데.. 아무래도 이게 해킹에 사용된 것 같아요. 물론 제 것은 아닙니다.
또하나, p.tar 라는 아카이브파일이 있어서 이건 혹시나 해서 다운로드 받아봤는데요.
p.c라는 소스파일과 p라는 실행파일이 들어있더군요

p.c에 적힌 내용은요

/*
* Linux kernel ptrace/kmod local root exploit
*
* This code exploits a race condition in kernel/kmod.c, which creates
* kernel thread in insecure manner. This bug allows to ptrace cloned
* process, allowing to take control over privileged modprobe binary.
*
* Should work under all current 2.2.x and 2.4.x kernels.
*
* I discovered this stupid bug independently on January 25, 2003, that
* is (almost) two month before it was fixed and published by Red Hat
* and others.
*
* Wojciech Purczynski <cliph@isec.pl>
*
* THIS PROGRAM IS FOR EDUCATIONAL PURPOSES *ONLY*
* IT IS PROVIDED "AS IS" AND WITHOUT ANY WARRANTY
*
* (c) 2003 Copyright by iSEC Security Research
*/

#include <grp.h>
#include <stdio.h>
#include <fcntl.h>
#include <errno.h>
#include <paths.h>
#include <string.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <sys/wait.h>
#include <sys/stat.h>
#include <sys/param.h>
#include <sys/types.h>
#include <sys/ptrace.h>
#include <sys/socket.h>
#include <linux/user.h>

int main(int argc, char ** argv)
{
        prepare();
        signal(SIGALRM, sigalrm);
        alarm(10);

        parent = getpid();
        child = fork();
        victim = child + 1;

        if (child == -1)
                fatal("[-] Unable to fork");

        if (child == 0)
                do_child();
        else
                do_parent(argv[0]);

        return 0;
}

이런 것입니다.
이게 뭐하는 소스인지 좀 알려주세요~~
그리고 아마도 백도어가 만들어져 있을 것 같은데, 찾아서 지우는 방법도 좀 부탁드립니다..
또하나.
rm 명령어가 해킹당한 뒤로 계속 안 됩니다.
$rm *.* 라고 하면
Segmentation fault 라고 나오는데요...
어떻게 해야 하죠?

Hit : 4530 Date : 2004/02/13 04:26


쩝	주석에 적힌바와 같이 exploit코드 인것같습니다..;; 일일히 찾아지우는 방법밖엔 없을듯...	2004/02/13
ChuRack	해킹 당하셨군요...p.c파일은 리눅스 Ptrace를 이용한 익스플로잇으로..	2004/02/14
ChuRack	root계정을 획득할 수 있습니다.또한 백도어라던지..rm에 관한것을 자세히 살펴 보지 않는 이상 모르겠군요...	2004/02/14
a	주석보니까 이 코드는 레이스 컨디션 익스플로잇 어쩌구 저쩌구 그러네요	2004/05/08
a	rm을 수정해서 버퍼 값을 작게 한 것 같군요..	2004/05/11
a	우선, 제 추측으로는 님과 원수를 진 사람 중에 컴퓨터를 잘하는 사람이 마음먹고 하는 짓 같습니다. 리눅스를 밀고 다시 깔아보세요. 확실하게 당하셨네요...	2004/05/11
a	그리고, 밀기전에 리눅스의 로그를 확인해서 이런 짓을 한 사람의 IP을 스크랩하셔서 사이버 경찰에 넘겨버리십시오.	2004/05/11